Эти расширения в браузере прямо сейчас крадут ваши данные: удалите их срочно

В браузере Google Chrome обнаружена масштабная кампания по распространению вредоносных расширений. По данным аналитической платформы DomainTools Intelligence, с февраля 2024 года злоумышленник создал более сотни поддельных сайтов и расширений, маскирующихся под популярные и полезные инструменты.

Эти расширения выдавали себя за легитимные приложения для продуктивности, VPN-сервисы, криптовалютные платформы или банковские утилиты, привлекая пользователей к установке вредоносного ПО. Сначала они имитировали функциональность заявленных сервисов и успешно проходили модерацию в Chrome Web Store.

После установки расширения начинали скрытно воровать учетные данные и файлы cookie, похищать сессии, навязывать рекламу и перенаправлять на фишинговые страницы. Они манипулировали трафиком и, используя расширенные права доступа, взаимодействовали с любыми сайтами, запускали произвольный код и внедряли вредоносные скрипты.

Злоумышленники использовали обработчик onreset на DOM-элементах, чтобы обойти политику безопасности контента и избежать обнаружения. Среди имитированных сервисов были DeepSeek, Manus, DeBank, FortiVPN и Site Stats. После установки расширения собирали cookie, загружали скрипты с серверов злоумышленников и устанавливали WebSocket-соединения для маршрутизации трафика.

Механизмы перенаправления на фишинговые страницы еще изучаются, но эксперты предполагают использование социальной инженерии и продвижение через социальные сети, особенно Facebook**. Поддельные сайты могли использовать Facebook ID**, привлекая пользователей через группы, страницы или рекламу Meta*. Google уже удалил опасные расширения из магазина.

Для защиты рекомендуется:

• Устанавливать расширения только от проверенных разработчиков.
• Внимательно изучать запрашиваемые разрешения и отзывы пользователей.
• Избегать сомнительных предложений, особенно тех, что имитируют популярные сервисы.
• Помнить, что злоумышленники накручивают оценки, скрывают негативные отзывы и перенаправляют пользователей на фальшивые формы обратной связи.

Личность злоумышленников и детали распространения угроз пока не установлены, пишет источник.

Meta* — признана экстремистской и запрещенной организацией на территории РФ.

Facebook** — является продуктом Meta*, признанной экстремисткой и запрещеннной организацией на территории РФ.